Plateforme
python
Composant
praisonaiagents
Corrigé dans
1.5.96
1.5.95
La vulnérabilité CVE-2026-34954 est une faille de type SSRF (Server-Side Request Forgery) présente dans la bibliothèque praisonaiagents, affectant les versions inférieures ou égales à 1.5.94. Cette faille permet à un attaquant de forcer le serveur à effectuer des requêtes vers des ressources non intentionnelles, compromettant potentiellement la confidentialité et l'intégrité des données. Une correction est disponible dans la version 1.5.95.
L'exploitation réussie de cette vulnérabilité SSRF permet à un attaquant de contourner les contrôles d'accès et d'accéder à des ressources sensibles situées sur le même réseau que le serveur praisonaiagents. Cela inclut potentiellement les services de métadonnées cloud, les bases de données internes et d'autres API privées. Un attaquant pourrait ainsi extraire des informations confidentielles, modifier des configurations ou même compromettre d'autres systèmes connectés au réseau. Le risque est amplifié si le serveur praisonaiagents est exposé à Internet ou s'il est utilisé dans un environnement multi-tenant, car l'attaquant pourrait potentiellement affecter d'autres locataires.
Cette vulnérabilité a été publiée le 2026-04-01. Il n'y a pas d'indication d'une exploitation active à ce jour, ni de mention sur le KEV de CISA. L'absence de validation de l'URL dans FileTools.download_file() présente un risque significatif, et la publication du CVE pourrait inciter à la création de preuves de concept publiques.
Organizations deploying praisonaiagents in environments with access to sensitive internal services or cloud metadata are at significant risk. This includes those using praisonaiagents for data processing, automation, or integration with cloud platforms. Shared hosting environments where multiple users share the same server are also particularly vulnerable, as a compromised user could potentially exploit this vulnerability to access resources belonging to other users.
• python / server:
import os
import subprocess
def check_praisonaiagents_version():
try:
result = subprocess.check_output(['pip', 'show', 'praisonaiagents'], stderr=subprocess.STDOUT, text=True)
for line in result.splitlines():
if line.startswith('Version:'):
version = line.split(':')[1].strip()
if version <= '1.5.94':
print(f"Vulnerable version detected: {version}")
else:
print(f"Safe version detected: {version}")
return
except FileNotFoundError:
print("praisonaiagents not found.")
check_praisonaiagents_version()disclosure
Statut de l'Exploit
EPSS
0.04% (percentile 13%)
CISA SSVC
Vecteur CVSS
La mitigation immédiate consiste à mettre à jour praisonaiagents vers la version 1.5.95 ou supérieure, qui corrige cette vulnérabilité. En attendant la mise à jour, il est possible de limiter l'impact en configurant un pare-feu d'application web (WAF) pour bloquer les requêtes suspectes vers les points de terminaison vulnérables. Il est également recommandé de restreindre l'accès réseau au serveur praisonaiagents aux seuls services nécessaires. Surveillez attentivement les journaux du serveur pour détecter toute activité suspecte, en particulier les requêtes vers des adresses IP ou des domaines inconnus. Une analyse du code source peut également aider à identifier et à corriger d'autres potentielles vulnérabilités SSRF.
Mettez à jour PraisonAI à la version 1.5.95 ou supérieure pour atténuer la vulnérabilité SSRF. Cette mise à jour valide correctement l'URL fournie à la méthode download_file(), empêchant l'accès non autorisé aux ressources internes et externes.
Analyses de vulnérabilités et alertes critiques directement dans votre boîte mail.
CVE-2026-34954 is a Server-Side Request Forgery (SSRF) vulnerability in the praisonaiagents library, allowing attackers to make unauthorized requests to internal services.
You are affected if you are using praisonaiagents versions 1.5.94 or earlier. Upgrade to 1.5.95 to mitigate the risk.
Upgrade to version 1.5.95 or later of praisonaiagents. Consider WAF rules or proxy filtering as a temporary workaround if immediate upgrade is not possible.
There is currently no evidence of active exploitation, but the SSRF nature of the vulnerability means it could be exploited opportunistically.
Refer to the praisonaiagents project's official release notes and security advisories for the most up-to-date information.
Téléverse ton fichier de dépendances et découvre instantanément si cette CVE et d'autres te touchent.
Téléverse ton fichier requirements.txt et nous te dirons instantanément si tu es affecté.